ETH:被盗约1700万美元 DeFi 世界的乐高Dego Finance就这样“塌了”吗？_ethylenesp

2月10日，成都链安链必应-区块链安全态势感知平台舆情监测显示，DeFi应用Dego Finance遭到黑客攻击，UniSwap 和 PancakeSwap 上的 DEGO 流动性已被耗尽。关于本次攻击，成都链安技术团队第一时间进行了资金流向分析。

据悉，Dego Finance于2020年9月启动，以打造可持续性和实用性的NFT生态系统为目标，打造了NFT+DeFi平台。有人说，在DeFi的世界里，DEGO就相当于乐高。将每一个DeFi协议当作是一块砖，包括稳定币(DAI)、借贷?(Aave, Compound)、去中心化交易所DEX (Uniswap and Balancer)、衍生品(Synthetix)和保险(Nexus Mutual)等等。

2月10日，Dego Finance官方推特发布公告称被黑客攻击，DeFi 世界的乐高就这样“塌了”！

安全团队：BSC链上Level Finance被盗资金目前仍存放在攻击者地址内:金色财经报道，根据区块链安全审计公司Beosin旗下的Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年5月2日BSC链上的Level__Finance 项目被攻击，损失资金高达一百万美元。通过分析代码得知，攻击者地址0x61bb...12e创建了攻击合约0xf08a...629，随后利用攻击合约调用了被攻击合约0x9770...63a的claimMultiple函数，由于被攻击合约在users奖励计算后没有进行对应的users账本清除，导致同一个epoch的claimed奖励可以被反复领取。攻击者多次调用函数使用同一个epoch来反复领取Level Token，随后将领取的Level Token在多个pair中swap成3345个BNB(约109万美元)，被盗资金目前仍存放在攻击者地址内(0x70319d1c09e1373fc7b10403c852909e5b20a9d5)，Beosin将持续对被盗资金监控。[2023/5/2 14:38:03]

安全团队：除BAYC周杰伦持有的1枚MAYC和两枚Doodles同样被盗:4月1日消息，PeckShield在社交媒体上披露，除1枚BAYC之外，周杰伦持有的1枚MAYC和两枚Doodles相继被盗。此前报道，周杰伦在社交媒体上发文确认，曾由黄立成（MachiBigBrother）赠予的无聊猿BAYC#3738NFT已被盗。[2022/4/1 14:31:06]

本次攻击涉及多个账户地址私钥泄露，黑客利用私钥提取了多个链上的资产，具体分析请接着往下阅读。

我们以ETH链上攻击为例，对Dego项目方其中一个地址的资金流向做了详细分析。

首先，项目方私钥泄露的DEGO.Finance: Deployer地址为：

0x20FE4B1eD95911487499e53355BB8f14a881D735

动态 | 部分Upbit被盗ETH正通过去中心化渠道转为稳定币:北京链安Chainsmap监测系统发现，Upbit交易所被盗ETH近期正频繁的通过去中心化交易渠道将ETH转为稳定币，进行后续的行为，目前，这些被盗ETH主要被交易转化为USDT，以及部分TUSD、PAX、USDC。交易后，这些稳定币会回到涉黑地址，并进一步聚合转移，我们曾经发现一个地址在六小时内即聚合转移了价值14.78万美元的稳定币。

据数据分析师SXWK介绍，通过ETH向稳定币，而且是多种稳定币的转化，进而再转移，将进一步混淆整个过程，而从目前来看，被盗ETH被洗出的部分依然只是总量的少数。[2019/12/18]

攻击者地址为：

0x118203B0f2A3ef9e749D871C8fEF5e5e55ef5C91

动态 | 数据显示：币安5月被盗比特币有超700枚在黑客钱包地址间发生转移:据 Whale Alert数据显示，UTC时间7月8日08:47:01，币安5月被盗的比特币发生转移，其中706.1枚BTC（约合8038,240美元）从开头为bc1q3a的钱包地址转移至开头为bc1qqm的钱包地址。交易哈希值为：d7120218edfd6203832ff024c9c223c50915581fba06029332b1a0c75b43ecd3。注：这两个钱包均被Whale Alert标记为“Binance Hack May 2019”。[2019/7/8]

攻击者通过私钥，使用minter权限分别向DEGO.Finance: Deployer账户和0x118账户铸造了592,582.35个dego代币。

之后移除ETH-dego交易池的流动性。

攻击者通过DEGO.Finance: Deployer账户移除流动性获取了269,502个dego代币和378个ETH。

然后将DEGO.Finance: Deployer账户获取的378个ETH转给了0x118地址。

同时，该黑客转移原本属于项目方地址的441个yvWETH给0x118地址。

此时0x118账户上有获利的（371.6+378.75）750.37个ETH和其他转入的7.10个ETH一共757.4个。

截止目前发文，在Ethereum链上，攻击者在0x118地址将441个yv WETH转入 Zapper.Fi: Yearn yVault Zap Out 兑换了445 个ETH，获取共1202个ETH，转入Tornado.Cash: Proxy 400 ETH。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址转入202个ETH。

在Cronos链上，在0x118地址获取了196256.7个USDT和199401.9个USD Coin，还未转出。

在BSC链上，获取3736.17个BNB，通过代币兑换获取9188个BNB。向0x47a344588653efA88eB6D58433B6A2A5E202D65d地址转入了12,741个BNB。

三条链上0x118地址总计约17,627,676美元，目前，官方称正在调查原因并试图挽回损失。

随着DeFi的不断发展，DeFi项目的安全问题也愈发紧急。对比于传统金融，DeFi的底层靠的是智能合约，本质上是程序，程序拥有传统金融不可比拟的高效性和便捷性，但也存在传统金融无需考虑的代码漏洞问题。所以成都链安建议大家，对未公开智能合约和审计报告的项目，要保持警惕。

标签：ETHEGODEGDEGOethylenespegon币价格DEGO价格dego币是不是要凉了

Bitcoin热门资讯